UNIDAD 1Introducción a la Seguridad Informática

Material Docente de Libre Distribución

Incidencias reportadas al CERT.

(CERT: Centro de Coordinación de Emergencias Telemáticas.)

137529

100000

120000

140000

6 132 252 406 773 1334 2340 2412 2573 2134 3734

9859

21756

52658

82094

0

20000

40000

60000

80000

1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003

Fuentes de amenazas

• Hackers: 25%

• Terroristas informáticos: 20%

• Competidores: 10%

• Antiguos empleados: 10%• Antiguos empleados: 10%

• Usuarios no autorizados: 15%

• Empleados: 3%

• Usuarios autorizados: 7%

• Clientes: 3%

• Consultores, auditores: 7%

Seguridad Informática

• En los SISTEMAS DE INFORMACION– En los SISTEMAS INFORMATICOS

¿Cómo definir la seguridad informática?

• Si nos atenemos a la definición de la Real Academia de la Lengua RAE:• Seguridad es la “cualidad de seguro”.• Seguro “libre y exento de todo peligro, daño o riesgo”.

• La seguridad no es un producto, sino un proceso.• La seguridad no es un producto, sino un proceso.• Definición: Un conjunto de métodos y herramientas destinados a proteger la información y por ende los sistemas informáticos ante cualquier amenaza, un proceso en el cual participan además personas. Concienciarlas de su importancia en el proceso será algo crítico.

• La seguridad informática no es un bien medible, en cambio sí podríamos desarrollar diversas herramientas para cuantificar de alguna forma nuestra inseguridad informática.

No podemos aceptar esa afirmación simplista que dice que el computador más seguro ...

... es aquel que está desconectado y, por lo tanto, libre de todos los peligros que

hay en la red.

¿La solución será estar desconectado?

A pesar de todas las A pesar de todas las amenazas del entorno, que serán muchas y de muy

distinto tipo ...

... tendremos que aplicar políticas, metodologías y

técnicas de protección de la información porque la conectividad es vital.

Amenazas

¿Tenemos conciencia de las debilidades?

Habrá debilidades tanto internas como externas...

La seguridad informática se convierte en un nuevo motivo

de preocupación

A finales del siglo XX e inicios del XII tanto las empresas, organismos e incluso particulares comienzan a tomar verdadera conciencia de su importancia. Hoy en día, tener un sistema que cumpla con los estándares de gestión de la seguridad es sinónimo de calidad de servicio.

• A partir de los años 80 el uso del ordenador personal comienza a ser común. Asoma por tanto la preocupación por la integridad de los datos.

• En la década de los años 90 aparecen los virus y gusanos y se toma conciencia del peligro que nos acecha como

Acontecimientos en dos últimas décadas

se toma conciencia del peligro que nos acecha como usuarios de PCs y equipos conectados a Internet.

• Además, comienzan a proliferar ataques a sistemas informáticos. La palabra hacker aparece incluso en prensa.

• Las amenazas se generalizan a finales de los 90; aparecen nuevos gusanos y malware generalizado.

• Uso masivo de Internet– La protección de la información se ha transformado en una necesidad y con ello se populariza la terminología técnica asociada a la criptología:• Cifrado, descifrado, criptoanálisis, firma digital, ...

• Autoridades de Certificación, comercio electrónico,

¿Qué hay de nuevo en los 00s?

• Autoridades de Certificación, comercio electrónico, ...

• Cualquier usuario desea saber– Qué significa firmar un e-mail.– Qué significa que en una comunicación con su banco aparezca un candado en la barra de tareas de su navegador.

– Que le diga que el enlace es SSL con 128 bits.

• El software actual viene con seguridad añadida o embebida.

• El estudio de la seguridad informática podríamos plantearlo desde dos enfoques distintos aunque complementarios:– La Seguridad Física: puede asociarse a la protección del sistema ante las amenazas físicas, incendios, inundaciones, edificios, cables, control de accesos de personas, etc.

– La Seguridad Lógica: protección de la información en su propio

Seguridad Física y Seguridad Lógica

– La Seguridad Lógica: protección de la información en su propio medio, mediante el enmascaramiento de la misma usando técnicas de criptografía.

Seguridad Activa y Pasiva

• Activa:– Evitar daños a los sistemas informáticos.

• Contraseñas.

• Encriptación.• Encriptación.

• Software de seguridad.

• Pasiva:– Minimizar los efectos causados por un accidente.

• Copias de seguridad.

• Uso de hardware adecuado.

• Los tres principios básicos de la seguridad informática:– El del acceso más fácil.

– El de la caducidad del secreto.

– El de la eficiencia de las medidas tomadas.

Principios de la seguridad informática

• Tras los acontecimientos del 11/09/2001 en • Tras los acontecimientos del 11/09/2001 en Nueva York, los del 11/03/2004 en Madrid y los del 07/07/2005 en Londres, que echaron por tierra todos los planes de contingencia, incluso los más paranoicos, comenzamos a tener muy en cuenta las debilidades de los sistemas y valorar en su justa medida el precio de la seguridad.

Es necesario aprender de los errores �

PREGUNTA:

¿Cuáles son los puntos débiles de un sistema informático?

1er principio de la seguridad informática

• P1: El intruso al sistema utilizará el artilugio que haga más fácil su acceso y posterior ataque.

• Existirá una diversidad de frentes desde los que puede producirse un ataque, tanto internos como externos. Esto dificultará el análisis de riesgo ya que el delincuente aplicará la filosofía del ataque hacia el punto más débil: el equipo o las personas.

• P2: los datos confidenciales deben protegerse sólo

PREGUNTA:¿Cuánto tiempo deberá protegerse un dato?

2º principio de la seguridad informática

• P2: los datos confidenciales deben protegerse sólo hasta que ese secreto pierda su valor como tal.

• Se habla, por tanto, de la caducidad del sistema de protección: tiempo en el que debe mantenerse la confidencialidad o secreto del dato.

• Esto nos llevará a la fortaleza del sistema de cifra.

• P3: las medidas de control se implementan para que tengan un comportamiento efectivo, eficiente, sean fáciles de usar y apropiadas al medio.– Efectivo: que funcionen en el momento oportuno.– Eficiente: que optimicen los recursos del sistema.

3er principio de la seguridad informática

– Eficiente: que optimicen los recursos del sistema.– Apropiadas: que pasen desapercibidas para el usuario.

• Y lo más importante: ningún sistema de control resulta efectivo hasta que debemos utilizarlo al surgir la necesidad de aplicarlo. Junto con la concienciación de los usuarios, éste será uno de los grandes problemas de la Gestión de la Seguridad Informática.

Medidas de control

• Las amenazas afectan principalmente al hardware, al software y a los datos. Éstas se Interrupción Interceptación

Flujo Normal

Amenazas del sistema

a los datos. Éstas se deben a fenómenos de:– Interrupción– Interceptación– Modificación– Generación

Interrupción Interceptación

Modificación Generación

• Se daña, pierde o deja de funcionar un punto del

Interrupción

Intruso

Amenazas de interrupción

• Se daña, pierde o deja de funcionar un punto del sistema.

• Su detección es inmediata.

Ejemplos: Destrucción del hardware.Borrado de programas, datos.Fallos en el sistema operativo.

• Acceso a la información por parte de personas no

Interceptación

Intruso

Amenazas de interceptación

• Acceso a la información por parte de personas no autorizadas. Uso de privilegios no adquiridos.

• Su detección es difícil, a veces no deja huellas.

Ejemplos: Copias ilícitas de programas.Escucha en línea de datos.

• Acceso no autorizado que cambia el entorno para

Modificación

Intruso

Amenazas de modificación

• Acceso no autorizado que cambia el entorno para su beneficio.

• Su detección es difícil según las circunstancias.

Ejemplos: Modificación de bases de datos.Modificación de elementos del HW.

Generación

Intruso

Amenazas de generación

• Creación de nuevos objetos dentro del sistema.

• Su detección es difícil: delitos de falsificación.

Ejemplos: Añadir transacciones en red.Añadir registros en base de datos.

Interrupción Interceptación Modificación Generación

(pérdida) (acceso) (cambio) (alteración)

Datos Ejemplos de amenzasLos datos serán la parte más

Escenarios de las amenazas del sistema

Hardware Software

Interrupción (denegar servicio) Modificación (falsificación)

Interceptación (robo) Interrupción (borrado)

Interceptación (copia)

Los datos serán la parte más vulnerable del sistema

• Hardware: – Agua, fuego, electricidad, polvo, cigarrillos, comida.

• Software:– Borrados accidentales o intencionados, estática, fallos de líneas de programa, copias ilegales.

Amenazas más características

de líneas de programa, copias ilegales.• Datos:

– Datos de carácter personal y privado que podrían convertirse en datos de carácter público.

Los tres primeros puntos conforman el llamado Triángulo de

HARDWARE - SOFTWARE - DATOS

MEMORIA - USUARIOS

Debilidades del sistema informático

Los tres primeros puntos conforman el llamado Triángulo de Debilidades del Sistema:

– Hardware: pueden producirse errores intermitentes, conexiones sueltas, desconexión de tarjetas, etc.

– Software: puede producirse la sustracción de programas, ejecución errónea, modificación, defectos en llamadas al sistema, etc.

– Datos: puede producirse la alteración de contenidos, introducción de datos falsos, manipulación fraudulenta de datos, etc.

– Memoria: puede producirse la introducción de un virus, mal uso de la gestión de memoria, bloqueo del sistema, etc.

– Usuarios: puede producirse la suplantación de identidad, el acceso no autorizado, visualización de datos confidenciales, etc.

Debilidades del sistema informático

• Es muy difícil diseñar un plan que contemple minimizar de forma eficiente todas estas amenazas, y que además se entienda y pase desapercibido por los usuarios.

• Debido al principio de acceso más fácil, el responsable de seguridad informática no se deberá descuidar ninguno de los cinco elementos susceptibles de ataque al sistema.

• Confidencialidad– Los componentes del sistema serán accesibles sólo por aquellos usuarios autorizados.

• Integridad– Los componentes del sistema sólo pueden ser creados

Elementos básicos de la seguridad informática

– Los componentes del sistema sólo pueden ser creados y modificados por los usuarios autorizados.

– Garantía de que los datos no han sido alterados ni destruidos de modo no autorizado.

• Disponibilidad– La información debe estar disponible para los usuarios autorizados cuando la necesiten.

• No Repudio

– Este término se ha introducido en los últimos años como una característica más de los elementos que conforman la seguridad en un sistema informático.

No repudio de origen y destino

conforman la seguridad en un sistema informático.– Está asociado a la aceptación de un protocolo de comunicación entre emisor y receptor (cliente y servidor) normalmente a través del intercambio de sendos certificados digitales de autenticación.

– Se habla entonces de No Repudio de Origen y No Repudio de Destino, forzando a que se cumplan todas las operaciones por ambas partes en una comunicación.

DATOS DATOS

Si se cumplen los principios vistos anteriormente, diremos en general que los datos están protegidos y seguros.

El concepto de datos seguros

DATOS

Esto se entiende en el siguiente sentido: los

Confidencialidad Integridad Disponibilidad

Datos Seguros

DATOS

datos sólo pueden ser conocidos por aquellos usuarios que tienen privilegios sobre ellos, sólo usuarios autorizados los podrán crear o bien modificar, y tales datos deberán estar siempre disponibles.